CERTA-2004-AVI-361
Vulnerability from certfr_avis - Published: 2004-11-04 - Updated: 2004-12-20None
Description
La bibliothèque libxml2 sert pour le traitement des données au format XML. Elle est notamment utilisée par l'environnement graphique Gnome.
Deux vulnérabilités de type débordement de mémoire sont présentes dans des routines utilisées pour le traitement de liens (URI) dans le module nanoftp. Plusieurs vulnérabilités de type débordement de mémoire sont également présentes dans des routines utilisées pour la résolution de noms dans les modules nanoftp et nanohttp.
Au moyen d'un fichier XML habilement constitué, les vulnérabilités affectant le traitement de liens (URI) peuvent être exploitées par un utilisateur mal intentionné afin d'exécuter du code arbitraire via une application utilisant la bibliothèque vulnérable.
Les vulnérabilités relatives à la résolution de noms peuvent être exploitées au travers d'un serveur DNS hostile contrôlé par un utilisateur mal intentionné.
Solution
La version 2.6.15 de la bibliothèque libxml2 corrige cette vulnérabilité.
Se référer aux bulletins de sécurité de l'éditeur (cf. section Documentation) pour l'obtention des correctifs.
libxml2 versions 2.6.14 et antérieures.
Impacted products
| Vendor | Product | Description |
|---|
References
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cp\u003elibxml2 versions 2.6.14 et ant\u00e9rieures.\u003c/p\u003e",
"content": "## Description\n\nLa biblioth\u00e8que libxml2 sert pour le traitement des donn\u00e9es au format\nXML. Elle est notamment utilis\u00e9e par l\u0027environnement graphique Gnome.\n\n \nDeux vuln\u00e9rabilit\u00e9s de type d\u00e9bordement de m\u00e9moire sont pr\u00e9sentes dans\ndes routines utilis\u00e9es pour le traitement de liens (URI) dans le module\nnanoftp. Plusieurs vuln\u00e9rabilit\u00e9s de type d\u00e9bordement de m\u00e9moire sont\n\u00e9galement pr\u00e9sentes dans des routines utilis\u00e9es pour la r\u00e9solution de\nnoms dans les modules nanoftp et nanohttp.\n\nAu moyen d\u0027un fichier XML habilement constitu\u00e9, les vuln\u00e9rabilit\u00e9s\naffectant le traitement de liens (URI) peuvent \u00eatre exploit\u00e9es par un\nutilisateur mal intentionn\u00e9 afin d\u0027ex\u00e9cuter du code arbitraire via une\napplication utilisant la biblioth\u00e8que vuln\u00e9rable.\n\nLes vuln\u00e9rabilit\u00e9s relatives \u00e0 la r\u00e9solution de noms peuvent \u00eatre\nexploit\u00e9es au travers d\u0027un serveur DNS hostile contr\u00f4l\u00e9 par un\nutilisateur mal intentionn\u00e9.\n\n## Solution\n\nLa version 2.6.15 de la biblioth\u00e8que libxml2 corrige cette\nvuln\u00e9rabilit\u00e9.\n\nSe r\u00e9f\u00e9rer aux bulletins de s\u00e9curit\u00e9 de l\u0027\u00e9diteur (cf. section\nDocumentation) pour l\u0027obtention des correctifs.\n",
"cves": [],
"initial_release_date": "2004-11-04T00:00:00",
"last_revision_date": "2004-12-20T00:00:00",
"links": [
{
"title": "Bulletin de s\u00e9curit\u00e9 Mandrake MDKSA-2004:127 :",
"url": "http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:127"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Debian DSA-582 du 02 novembre 2004 :",
"url": "http://www.debian.org/security/2004/dsa-582"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Red Hat RHSA-2004:650 du 16 d\u00e9cembre 2004 :",
"url": "http://rhn.redhat.com/errata/RHSA-2004-650.html"
},
{
"title": "Mise \u00e0 jour de s\u00e9curit\u00e9 des paquetages NetBSD libxml et libxml2 :",
"url": "ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/textproc/libxml2/README.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Gentoo GLSA 200411-05 du 02 novembre 2004 :",
"url": "http://www.gentoo.org/security/en/glsa/glsa-200411-05.xml"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Red Hat RHSA-2004:615 du 12 novembre 2004 :",
"url": "http://rhn.redhat.com/errata/RHSA-2004-615.html"
},
{
"title": "Sortie de la version 2.6.15 de libxml2 :",
"url": "http://www.xmlsoft.org/news.html"
},
{
"title": "Mise \u00e0 jour de s\u00e9curit\u00e9 des paquetages NetBSD libxml et libxml2 :",
"url": "ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/textproc/libxml/README.html"
}
],
"reference": "CERTA-2004-AVI-361",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2004-11-04T00:00:00.000000"
},
{
"description": "ajout du bulletin de s\u00e9curit\u00e9 Mandrake.",
"revision_date": "2004-11-05T00:00:00.000000"
},
{
"description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 RHSA-2004:615 de Red Hat.",
"revision_date": "2004-11-16T00:00:00.000000"
},
{
"description": "ajout des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 NetBSD pour libxml et libxml2.",
"revision_date": "2004-11-22T00:00:00.000000"
},
{
"description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Red Hat (RHSA-2004:650) relatif \u00e0 libxml.",
"revision_date": "2004-12-20T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
}
],
"summary": null,
"title": "Multiples vuln\u00e9rabilit\u00e9s de libxml2",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 GLSA 200411-05 de Gentoo",
"url": null
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.
Loading…
Loading…